Wo früher übertriebene Vorsicht herrschte, ist die Cloud-Sicherheit vielerorts ins Gegenteil gekippt. Es gibt einen besseren Weg.
Übertriebene Ängste vor Cloud-Sicherheitsrisiken können erhebliche Kosten verursachen – durch unnötige Ausgaben und verpasste Chancen. Doch auch das Gegenteil, das Unterschätzen dieser Risiken, ist alles andere als ratsam. In diesem Artikel zeigen wir, warum ein nüchterner Umgang mit Cloud-Sicherheit unverzichtbar ist und wie Unternehmen Risiken minimieren, ohne sich geschäftliche Chancen zu verbauen.
Vom übervorsichtigen zum fast schon leichtfertigen Umgang
Als die großen Anbieter im ersten Jahrzehnt des 21. Jahrhunderts ihre Public-Cloud-Angebote auf den Markt brachten, näherten sich Unternehmen der Public Cloud nur zögerlich – sie experimentierten, ohne sich wirklich festzulegen. Mit dem Druck, digitale Fähigkeiten aufzubauen, wurden cloud-basierte Infrastrukturen jedoch geschäftskritisch, und die Pandemie hat diesen Druck noch einmal massiv erhöht. Unternehmen passten ihre IT-Strategien an und verlagerten einen wachsenden Teil ihrer Anwendungen und Daten auf Public-Cloud-Infrastrukturen und ‑Plattformen.
Wer die Public Cloud nutzt, muss sich von den klassischen Cybersecurity-Modellen lösen, die viele Unternehmen über Jahre aufgebaut haben. Bestehende Mechanismen waren weder dafür gedacht, eine sichere Konfiguration in der Cloud zu gewährleisten, noch arbeiteten sie schnell genug, um die Vorteile von Agilität und Geschwindigkeit auszuspielen, die die Cloud verspricht. Unternehmen, die aus der Cloud Wert schöpfen wollen, müssen sich daher mit neuen Sicherheitsarchitekturen und ‑prozessen auseinandersetzen, um ihre Cloud-Workloads zu schützen.
Stehen die richtigen Sicherheitsstrukturen erst einmal, kann die Cloud-Migration den geschäftlichen Mehrwert deutlich beschleunigen. Voraussetzung ist, dass die eingesetzten Sicherheitspraktiken kritische Daten zuverlässig schützen – und dabei die Geschwindigkeit und Flexibilität der Cloud nicht ausbremsen.
In den frühen Phasen der Cloud-Einführung haben viele Unternehmen die damit verbundenen Risiken vermutlich überschätzt. Aufsehenerregende Sicherheitsvorfälle in der Cloud veranlassten manche CIOs, die geschäftliche Nutzung von Cloud-Diensten einzuschränken. Doch die digitale Transformation ließ sich ohne Cloud-Plattformen nicht mehr meistern – die Zurückhaltung wich dem geschäftlichen Druck.
Da Unternehmen ihre Workloads zunehmend in die Cloud verlagern, bleiben Sicherheitsvorfälle ein Dauerthema. Der 2021 Verizon Data Breach Investigations Report (DBIR) zeigt, dass Cloud-Infrastruktur bei 73 % aller Cybersecurity-Vorfälle eine Rolle spielt. Anders als diese Zahl vermuten lässt, ist On-Premises-Architektur jedoch nicht sicherer als die Cloud.
Das eigentliche Problem erkennen
Die meisten Sicherheitsvorfälle in der Cloud gehen auf Fehlkonfigurationen zurück – nicht auf Angriffe, die die grundlegende Cloud-Infrastruktur kompromittieren. Das unterstreicht die Bedeutung des Modells der geteilten Verantwortung zwischen Cloud-Anbieter und Kunde. Während der Anbieter die Cloud-Komponenten absichert, auf denen seine Dienste aufbauen, ist der Kunde dafür verantwortlich, wie er diese Dienste nutzt. Dazu gehören die korrekte Konfiguration von Identity and Access Management (IAM), Speicher- und Compute-Einstellungen, Bedrohungsanalyse und ‑abwehr sowie der Schutz der Anwendungen und Daten, die in der Cloud verarbeitet und gespeichert werden.
Mit der zunehmenden Reife der Cloud-Anbieter und Cloud-Sicherheitslösungen verschiebt sich die Verantwortung für Sicherheitsvorfälle immer stärker auf die Kundenseite und deren Umgang mit Cloud-Sicherheit. Unternehmen, die ganz andere Outsourcing-Modelle gewohnt sind, müssen die neue Verantwortungsverteilung verstehen und ihre internen Prozesse entsprechend anpassen.
Sicherheitslücken
Der durch die globale Pandemie noch beschleunigte Sprung in die Cloud hat Schwachstellen im Sicherheitsmanagement offengelegt. Doch der Druck, schnell in der Cloud zu sein, wog schwerer als die nüchterne Betrachtung der Migrationsrisiken. Die Folge: In vielen Cloud-Migrations- und Entwicklungsprojekten wurden sicherheitsrelevante Abhängigkeiten vor dem Deployment zu wenig berücksichtigt – Teams mussten später nachbessern.
Hinzu kommt eine fehlende Abstimmung zwischen den an Entwicklung und Migration beteiligten Teams, die jeweils auf unterschiedliche Sicherheitslösungen setzen. Statt sich mit einem zentralen Governance-Gremium abzustimmen oder untereinander zu koordinieren, wählt jedes Team seine bevorzugten Lösungen.
Genau diese Schwachstellen versuchen Cyberkriminelle gezielt auszunutzen – mit potenziell schwerwiegenden Folgen. In den kommenden Jahren ist mit größeren und folgenreicheren Datenpannen zu rechnen. Laut 2022 Experian Data Breach Industry Forecast bleiben große Institutionen besonders angreifbar, da nach wie vor erhebliche Mengen sensibler Daten im Unternehmen selbst liegen. Organisationen müssen sich darauf vorbereiten.
Der richtige Mittelweg zwischen risikoscheu und risikofreudig
Eine Datenpanne kann Umsatz, Effizienz und Reputation auf einen Schlag zunichtemachen. Doch der Schutz davor darf die Cloud-Initiativen eines Unternehmens nicht ausbremsen. Übertriebene Vorsicht bedeutet verpasste Chancen und unnötige Ausgaben. Statt sich vor unbelegten Sicherheitsrisiken zu sorgen, sollten Unternehmen prüfen, ob sie die Cloud auch tatsächlich sicher nutzen – zumal viele bestehende Sicherheitspraktiken und ‑architekturen in der Cloud nicht mehr greifen. Klassische On-Premises-Tools, die etwa IP-Adressen verfolgen, sind für Container mit einer Lebensdauer von wenigen Minuten oder Sekunden schlicht nutzlos.
Eine durchdachte Cloud-Strategie mit proaktivem, systematischem Risikomanagement hilft Unternehmen, fundierte Entscheidungen über ihre Cloud-Nutzung zu treffen und ihr Risiko zu steuern, ohne Wachstumschancen zu verspielen.
Maßnahmen, mit denen Sie Chancen sicher nutzen
Cloud-Risiken richtig zu messen und zu steuern, wird für die meisten Unternehmen noch jahrelang eine Herausforderung bleiben. Ein Ansatz, der Sicherheit stärkt, ohne die Vorteile der Cloud zu untergraben, erfordert ein Umdenken: weg von der Sorge um die grundsätzliche Sicherheit der Cloud, hin zu der Frage, ob das Unternehmen die Cloud auf sichere Weise nutzt.
Rückhalt aus der Führungsetage sichern
Erfolgreiche Cloud-Sicherheit beginnt mit klarer Rückendeckung aus der Führung. Die Strategie sollte auf Executive-Ebene gesteuert werden und Input aus einem breiten Spektrum von Funktionen einbeziehen – von Unternehmensführung, Finanzen, Datenarchitektur und Produktentwicklung bis hin zu IT, Sicherheit und QA. Entscheidend ist, dass alle Beteiligten den Stellenwert von Cloud Computing für das Geschäft anerkennen und sich hinter eine tragfähige Richtlinie und einen klaren Plan zu deren Steuerung stellen.
Mit klaren Vorgaben aus der Führung kann das Unternehmen Fachbereiche und IT bei Anforderungsanalyse, Architekturplanung und flexiblen Risikoakzeptanzprozessen deutlich besser unterstützen. CIOs haben dann einen klaren Rahmen, wie sie die Public-Cloud-Nutzung steuern – einschließlich der Frage, welche Daten in die Public Cloud gehören und unter welchen Bedingungen sie dort verarbeitet werden dürfen.
Silos sollten konsequent aufgebrochen werden, damit Entwickler eng mit Sicherheitsexperten zusammenarbeiten. So lernen Entwickler, wie sie sicher in der Cloud arbeiten, und Sicherheitsexperten können sich darauf verlassen, dass empfohlene Schutzmaßnahmen tatsächlich umgesetzt werden. Wer solche engen Verzahnungen früh etabliert, beginnt seine Cloud-Reise auf sicherem Fundament – und legt damit die Basis für die schnelle, sichere Auslieferung von Produkten.
Solides Risikomanagement etablieren
Bei der Nutzung von Public-Cloud-Diensten spielt Risiko immer eine Rolle – es zu ignorieren wäre fahrlässig. Fachbereiche und IT müssen offen darüber sprechen, welches Risikoniveau das Unternehmen akzeptieren will. Im Mittelpunkt stehen dabei die wahrscheinlichen Auswirkungen einer Datenpanne, deren Eintrittswahrscheinlichkeit und die zu erwartenden Wiederherstellungskosten.
Außerdem gilt es zu prüfen, ob der gewählte Cloud-Anbieter zur eigenen Risikobereitschaft passt: Welche Historie hat er bei Service-Ausfällen und Datenpannen? Wie sehen seine Richtlinien zu Datenmanagement und ‑schutz aus? Und wie gut deckt sich sein Sicherheitsansatz mit den eigenen regulatorischen und rechtlichen Pflichten?
Die Cloud im Griff behalten
Bis Ende 2025 werden 90 % der Unternehmen, die ihre Public-Cloud-Nutzung nicht steuern, sensible Daten unsachgemäß teilen. Eine ernüchternde Zahl – und ein deutlicher Hinweis darauf, wie schwer es ist, mit der eigenen Cloud-Nutzung Schritt zu halten. Die meisten Unternehmen setzen sich allein durch nicht autorisierte Public-Cloud-Nutzung unnötigen Risiken aus. Mit DoiT Cloud Intelligence™ lässt sich das vermeiden: Die Lösung liefert die Governance-Werkzeuge, mit denen sich Public-Cloud-Umgebungen erfolgreich steuern lassen.
Da die meisten Cloud-Sicherheitsvorfälle auf Kundenfehler zurückgehen, müssen Unternehmen ihre Sicherheitsrichtlinien konsequent durchsetzen, mit gewonnenen Erkenntnissen aktualisieren und stets aktuelle Zertifizierungs- und Compliance-Standards einhalten. Es reicht nicht zu wissen, wo sich die eigenen Cloud-Assets und ‑Dienste befinden – auch deren Status muss transparent sein. Automatisierte Konfigurations- und Sicherheitsprüfungen sind dabei unverzichtbar; Entwickler sollten über APIs Zugriff auf hochgradig automatisierte Sicherheitsdienste erhalten, um die Effizienz zu maximieren.
Wo die Balance liegt
Es ist nachvollziehbar, sich Sorgen um die Sicherheit von Public-Cloud-Diensten zu machen. Doch wer Cloud-Risiken überzeichnet, lässt Chancen ungenutzt verstreichen. Mindestens ebenso gefährlich ist es, ins andere Extrem zu verfallen und die Risiken zu unterschätzen.
Eine sauber recherchierte Risikomanagement-Strategie ist ein zentraler Baustein jeder Cloud-Strategie. Sie zeigt, wo Public-Cloud-Nutzung sinnvoll ist und mit welchen Maßnahmen sich die damit verbundenen Risiken eingrenzen lassen.
Wenn Sie unsicher sind, wie Ihr Unternehmen in puncto Cloud-Sicherheit aufgestellt ist, kann ein vertrauenswürdiger Partner wie DoiT ein Cloud Security Review durchführen und Empfehlungen aussprechen, mit denen Ihre Cloud-Reise sicher und profitabel verläuft.